PayForRepair 랜섬웨어
디지털 운영이 우리의 개인적, 직업적, 그리고 재정적 삶을 지배하는 시대에, 강력한 사이버 보안 유지의 중요성은 아무리 강조해도 지나치지 않습니다. 특히 랜섬웨어는 사이버 환경에서 가장 위험한 위협 중 하나로 발전하여 사용자의 데이터를 가로막고 막대한 금전을 요구할 수 있습니다. 최근 사이버 보안 업계에 큰 파장을 일으키고 있는 PayForRepair 랜섬웨어는 악명 높은 Dharma 계열의 변종입니다. 안전을 위해 알아야 할 모든 것을 알려드립니다.
목차
오래된 가족의 새로운 얼굴: PayForRepair 랜섬웨어란 무엇인가?
PayForRepair 랜섬웨어는 Dharma 랜섬웨어 계열의 정교한 파생형입니다. 이 랜섬웨어의 주요 목표는 피해자의 데이터를 암호화하고 복호화 대가로 금품을 갈취하는 것입니다. 기기에서 실행되면 이 맬웨어는 다양한 파일 형식을 표적으로 삼아 피해자 고유 ID, 공격자의 연락처 이메일(예: payforrepair@tuta.io), 그리고 '.P4R' 확장자를 추가합니다. 예를 들어, 원래 이름이 '1.jpg'였던 파일은 '1.jpg.id-XXXXXX.[payforrepair@tuta.io].P4R'로 변경될 수 있습니다.
이 악성코드는 파일을 암호화하는 것 외에도, 감염된 모든 디렉터리에 info.txt라는 텍스트 파일로 몸값 요구 메시지를 유포하고, 더 자세한 요구 사항이 적힌 팝업 메시지를 실행합니다. 피해자는 공격자에게 이메일을 보내고 비트코인을 지불하면 파일을 돌려준다는 협박을 받습니다. 범죄자들은 신뢰를 얻기 위해 제한된 수의 파일에 대한 무료 복호화 테스트를 제공합니다.
전략 및 행동: PayForRepair의 운영 방식
PayForRepair는 다르마 변형에서 일반적으로 나타나는 몇 가지 동작을 보입니다.
- 선택적 암호화 : OS 실행에 필요한 필수 시스템 파일을 손상시키지 않고 피해자가 여전히 몸값 요구서를 보고 돈을 지불할 수 있도록 보장합니다.
- 프로세스 종료 : 열려 있는 파일에 액세스하기 위해 데이터베이스나 문서 소프트웨어와 같은 활성 프로세스를 종료합니다.
- 지속성 메커니즘 : 랜섬웨어는 '%LOCALAPPDATA%'에 자체를 설치하고, 자동 시작을 위한 레지스트리 항목을 추가하며, 시스템을 재부팅할 때마다 실행되도록 합니다.
- 섀도 복사본 삭제 : 간단한 파일 복구 옵션을 방지하기 위해 섀도 볼륨 복사본을 제거합니다.
- 지리적 기반 타겟팅 : 지리적 위치 데이터를 기반으로 경제적 또는 정치적 고려 사항에 따라 특정 지역을 건너뛰거나 다른 지역을 우선시할 수 있습니다.
확산 방식: 진입 지점 및 감염 매개체
Dharma 랜섬웨어는 전통적으로 RDP(원격 데스크톱 프로토콜) 무차별 대입 공격을 통해 확산되지만 PayForRepair도 예외는 아니며 여러 가지 배포 기술을 사용합니다.
- 악용된 RDP 서비스 : 보안이 취약한 RDP 엔드포인트는 종종 무차별 대입 공격을 통해 액세스됩니다.
- 피싱 이메일 및 링크 : 이메일과 DM의 사기성 첨부 파일이나 링크는 여전히 가장 인기 있는 감염 경로입니다.
- 드라이브바이 다운로드 및 가짜 소프트웨어 : 타사 사이트의 사기성 다운로드, 악성 광고, 가짜 소프트웨어 크랙 또는 업데이트는 맬웨어를 확산하는 데 도움이 됩니다.
- 네트워크 및 이동식 드라이브 확산 : 랜섬웨어는 네트워크 내부로 침투하면 다른 연결된 시스템과 장치로 확산될 수 있습니다.
지불하지 마세요 - 대신 보호하세요: 보안 모범 사례
몸값을 지불하는 것은 결코 현실적인 해결책으로 여겨져서는 안 됩니다. 사이버 범죄자들이 약속을 지킬 것이라는 보장은 없습니다. 대신, 다음과 같은 사이버 보안 수칙을 통해 방어 체계를 강화하십시오.
- 장치 및 네트워크 보안 강화
- 모든 계정에 강력하고 창의적인 비밀번호를 사용하고 다중 요소 인증을 구현하세요.
- RDP와 같은 사용하지 않는 원격 액세스 서비스를 비활성화하거나 VPN 및 IP 허용 목록을 통해 제한합니다.
- 방화벽을 활성화하고 올바르게 구성하여 의심스러운 활동을 차단하세요.
- 알려진 취약점을 해결하기 위해 운영 체제와 소프트웨어를 자주 업데이트하세요.
- 안전한 파일 및 웹 사용 습관 실천
- 이메일 첨부 파일과 링크에는 주의하세요. 알 수 없는 출처에서 온 내용은 열지 마세요.
- 공식적이거나 평판이 좋은 플랫폼에서만 소프트웨어를 다운로드하세요.
- 악성코드가 섞여 있는 불법 복제 프로그램, 크랙 또는 키젠은 사용하지 마세요.
- 실시간 보호 기능이 있는 강력한 바이러스 백신/맬웨어 방지 소프트웨어를 설치하고 유지 관리하세요.
- 정기적으로 필수 파일의 오프라인 백업을 만들고 이를 연결이 끊긴 장치나 안전한 클라우드 플랫폼에 저장하세요.
마무리 생각: 예방이 최선의 치료법입니다
PayForRepair와 같은 랜섬웨어 감염으로 시스템이 손상되면 복구 옵션이 부족하고 불확실합니다. 악성코드 제거는 필수적이지만, 파일 암호를 해독할 수는 없습니다. 기존 백업이나 암호 해독 도구(사용 가능한 경우)만이 도움이 될 수 있습니다. 최선의 방어책은 선제적인 대응입니다. 사이버 보안 태세를 강화하고, 온라인에서 경계를 늦추지 않으며, 주변 사람들에게 정보를 제공하는 것이 중요합니다. 사이버 범죄는 사라지지 않을 것입니다. 하지만 미리 대비한다면 반드시 이길 필요는 없습니다.
메시지
PayForRepair 랜섬웨어와 관련된 다음 메시지가 발견되었습니다.
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: payforrepair@tuta.io YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:payforrepair@mailum.com Free decryption as guarantee Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
Ransom message shown as a text file: all your data has been locked us You want to return? write email payforrepair@tuta.io or payforrepair@mailum.com |
